«Голос Америки» уже не торт 🎂

кто не рискует тот рискует
без инцидентов жизнь прожить
и пить шампанское в укромном
и безопасном уголке 🥂

Есть компании, которые просто пишут код. Есть те, кто создает NGFW. Третьи же компании защищают страну. А вы бы в какой хотели трудиться?! ❔

С нас тупившим ушедшим и с наступившим пришедшим годом змеи! 🐍 Продолжаем праздновать и философствовать!

Пока мы тут проводили нас тупивший и встретили наступивший год, у закокеанских коллег сейчас два больших шухера в ИБ, обсуждаемые на самом высоком уровне (что может привести и к геополитическим последствиям в отношениях США и Китая). Первый - это взлом 🔓 чуть ли не всех крупнейших операторов связи с последующим прослушиванием всех телефонных переговоров интересующих китайцев лиц. Второй инцидент продолжает историю с взломом ИБ-компании BeyondTrust в начале декабря 🤕

Оказалось, что украденный API-ключ привел к взлому Минфина США (он же Казначейство) и несанкционированному доступу к ряду их ПК и затем к данным, которые, по официальным сведениям, не отнесены ни к гостайне, ни к служебной информации (unclassified в американском варианте). Об этом инциденте американцы, в соответствии с требованиями FISMA и меморандумом OMB 24-04) уведомили заинтересованные лица (по тексту становится понятно, почему "Голос Америки", написал, что название этой группировки - Advanced Persistent Threat 😂). В письме про китайскую атрибуцию ни слова, но все как один утверждают именно это 🐲

Деталей кейса пока нет (обещают в течение 30 дней представить), но интересно, что Минфин классифицировал инциденте как серьезный (major), что согласно OMB 24-04 означает одно из двух:
1️⃣ ущерб национальной безопасности, международным отношениям, экономике США, свободам гражданам (то есть недопустимое событие в нашей терминологии) или
2️⃣ инцидент с персональными данными более 100 тысяч человек, который может привести к п.1.
То есть на словах у них "все ОК, нечего волноваться", а на деле может быть все серьезней 🐉

Интересное наблюдение 👀 Если посмотреть внимательно временную шкалу от BeyondTrust. Подозрение на инцидент был зафиксировано 2 декабря. Подтвержден он был 5 декабря, а Минфин был уведомлен об этом только 8-го, спустя три дня. То есть у злоумышленников было минимум 6 дней (если их обнаружили сразу, как они начали действовать) на кражу данных у американского казначейства. Такая себе оперативность... ⏳

ЗЫ. В моей копилке это уже шестой взлом казначейств по всему миру, а уж взломов ИБ-компаний и не счесть.

История с CyberHaven обрастает новыми подробностями. Оказалось, что скомпрометировано было не только их расширение в Chrome Web Store, но еще три с половиной десятка расширений с общим числом пользователей - 2.600.000. Все инциденты начались одинаково - фишинговый e-mail разработчикам расширений, выглядящее как будто сообщение от Google, в котором говорится, что расширение нарушает политики Google и может быть удалено из магазина расширений. При переходе по ссылке пользователь попадает на страницу с вредоносным OAuth-приложением, которое запрашивало права доступа на управление Chrome Web Store.

Включенная многофакторная аутентификация не помогает, так как авторизация OAuth ее не требует (это не значит, что MFA бесполезна; просто 100% гарантии она не дает). Google Advanced Protection тоже не спасает от этой атаки; правда и учетная запись Google не компрометируется. После получения доступа к учетной записи разработчика, злоумышленники модифицируют расширение для броузера, вносят в него вредоносные файлы, крадущие данные, и заново заливают в Chrome Web Store. На данный момент неизвестно, кто стоит за данной атакой.

Среди скомпрометированных расширений (обратите внимание, что среди них есть и ИБ-расширения):
🔤 AI Assistant - ChatGPT and Gemini for Chrome
🔤 Bard AI Chat Extension
🔤 GPT 4 Summary with OpenAI
🔤 Search Copilot AI Assistant for Chrome
🔤 TinaMInd AI Assistant
🔤 Wayin AI
🔤 VPNCity
🔤 Internxt VPN
🔤 Vidnoz Flex Video Recorder
🔤 VidHelper Video Downloader
🔤 Bookmark Favicon Changer
🔤 Castorus
🔤 Uvoice
🔤 Reader Mode
🔤 Parrot Talks
🔤 Primus
🔤 Tackker - online keylogger tool
🔤 AI Shop Buddy
🔤 Sort by Oldest
🔤 Rewards Search Automator
🔤 ChatGPT Assistant - Smart Search
🔤 Keyboard History Recorder
🔤 Email Hunter
🔤 Visual Effects for Google Meet
🔤 Earny - Up to 20% Cash Back
🔤 Where is Cookie?
🔤 Web Mirror
🔤 ChatGPT App
🔤 Hi AI
🔤 Web3Password Manager
🔤 YesCaptcha assistant
🔤 Bookmark Favicon Changer
🔤 Proxy SwitchyOmega (V3)
🔤 GraphQL Network Inspector
🔤 ChatGPT for Google Meet
🔤 GPT 4 Summary with OpenAI

Помните, что удаление вредоносного расширения из Chrome Web Store не означает завершение инцидента, так как если он продолжает оставаться на компьютере пользователя, который успел его установить, то расширение продолжает свое черное дело в части кражи данных с ПК.

ЗЫ. А как вы проверяете, какие плагины и расширения устанавливают себе ваши пользователи?

Разрабатывая систему ИБ, которая взаимодействует с пользователями, учитывай не свои культурные предпочтения, а своей целевой аудитории!

ЗЫ. Пересматривал фотографии из Японии 🍱 и навеяло 😊

Кто-то с ужасом ждет вступления в силу закона об оборотных штрафах, кто-то потирает руки, уже подсчитывая барыши от продаж очередных проектов по 152-ФЗ. Ну я решил посмотреть на это с точки зрения иностранного бизнеса, который уже не первый год живет в схожих условиях и уже накопил интересные цифры, к которым можно присмотреться:

1️⃣ 63% организаций планируют включить потенциальные штрафы и расходы на инциденты с данными в стоимость своих продуктов и услуг, подняв их для клиентов. В прошлом году таких компаний было на 10,5% меньше.

2️⃣ В 2024 году среднее время восстановления после инцидентов с данными составило 7,3 месяца, что на 25% больше ожидаемого времени. Для компаний, планирующих урезание бюджетов ИБ, этот показатель еще хуже - 10,9 месяцев.

3️⃣ 94% компаний, столкнувшихся с действиями шифровальщиков, привели не только к утечке данных, но и в 94% к простоям бизнеса, а в 40% к его остановке.

4️⃣ 66% жертв утечек данных публично раскрыли информацию об инцидентах, и только 30% сделали это ограниченному кругу лиц, пострадавших от инцидента.

5️⃣ Треть организаций не может обнаруживать утечки в момент инцидента и узнают об этом только в момент истребования выкупа или опубликования хакерами украденной информации, что говорит о нехватке адекватных инструментов для обнаружения соответствующих угроз и отсутствии стратегии борьбы с ними. В среднем компании используют сегодня 51 различное средство защиты, но несмотря на это, в 51% таких организаций фиксировали утечки данных.

Ни в коем случае не призываю немедленно бросать подледную рыбалку, катание на лыжах, лепить снеговика или чистить дорожки от снега, но, возможно, пришло то время, когда стоит выделить денёк-другой и подсчитать, что больше, - цена бездействия или стоимость ИБ-программы в компании. Конечно, с учетом множества факторов, таких как правоприменение, стоимость перестройки бизнес- и иных процессов, наличие неформальных контактов в правоохранительных и надзорных органах и т.п.

Последние пару недель стала очень сильно бросаться в глаза беспрецедентная волна взломов операторов связи и Интернет-провайдеров по всему миру - в США, в Австралии, в России... 📡

Сначала американцы на самом высоком уровне заявили, что все крупнейшие операторы связи 🌍 страны были взломаны китайской группировкой Salt Typhoon 🇨🇳, которая перехватывала сообщения и прослушивала звонки интересующих ее граждан США, преимущественно находящихся в Вашингтоне и окрестностях (там, кстати, Пентагон и Форт Мид, штаб-квартира АНБ, "в окрестностях" 🇺🇸). И хотя сообщение CISA об этом было еще в ноябре, а первые разговоры начались парой месяцев ранее, волна 🌊 пошла только в последних числах декабря, когда CISA опубликовала руководство по защите мобильных коммуникаций, а декадой ранее - руководство по мониторингу и усилению защиты коммуникационной инфраструктуры 🐉

🤔 Интересно, учитывая, что в России 🇷🇺 схожее оборудование на инфраструктуре связи, что и у всех операторов по миру, то у нас кто-нибудь проверял нахождение китайцев внутри наших сетей связи? 🚠 Мы хоть и "друзья навек", но до поры до времени, пока это выгодно обеим сторонам.

Кстати, о России. В Даркнете 🎩 сейчас наблюдаются предложения по продаже данных взломанных российских Интернет-провайдеров, часть из которых перед этим столкнулась с DDoS-атаками с сопредельного государства, а после с простоями в работе (где-то речь идет об уничтожении инфраструктуры) 💥

На фоне победных реляций о том, что Интернет в России достиг самых удаленных уголков страны, лично я в последний месяц постоянно сталкиваюсь со снижением скорости и качества Интернет ⛓️‍💥 То картинки не подгружаются, то скорость низкая, то VPNы подглючивают, то СМС или звонок не проходят. Мало нам было блокировок РКН и ограничений работы с российских IP на зарубежных сайтах. Теперь вот еще и хакеры, тьфу, не дают нормально серфить 🖥 и прослушивают 📞 всех и вся. Как дальше жить 😱

В качестве рекомендаций могу посоветовать одним глазком взглянуть на бюллетени CISA ☝️, более активно применять шифрование данных при передаче по каналам связи, поменять все пароли на сетевом оборудовании, которое вы арендуете у провайдера, и отключить возможность его удаленного доступа (если договор это позволяет). А то ведь, взломав вашего оператора связи, хакерам будет несложно и к вам нагрянуть, канал-то доверенный... 🤔

А вы когда целуетесь, закрываете глаза? 👀 На самом деле и этот вопрос тоже имеет отношение к ИБ. В одном исследовании психологи выяснили, что женщины и мужчины часто закрывают глаза во время поцелуя 👨‍❤️‍💋‍👨 потому, что глаза мешают нашему мозгу полностью обрабатывать тактильные ощущения, возникающие при касании губ, и тем самым притупляют их, заставляя наше чувство осязания уйти на задний план 😚

Исследователи сделали вывод, что системы безопасности, использующие именно "тактильный" канал передачи сигналов тревоги (например, вибрацию телефона 📳), могут привести к их пропуску, если в данный момент человек, который этот сигнал получает, концентрируется на экране/мониторе (актуально для аналитиков SOC, специалистов ситуационных центров и т.п.) ✨

Точно такая же проблема, называемая психологической слепотой 🧑‍🦯 (я о ней писал в 2017 году), происходит когда мы сосредотачиваем усилия на наблюдениях за чем-то, что полностью засасывает нас и наше внимание, и это может сделать остальные объекты незаметными, а иногда и неслышимыми для нас 🙉

ЗЫ. Вывод: хотите продлить удовольствие во время секса - не закрывайте глаза! увеличить шансы, что аналитики SOC не пропустят важный сигнал тревоги - используйте разные органы чувств каналы коммуникаций - визуальный, тактильный, слуховой (вкус и обоняние пока в деятельности ИБ не задействуются) 📟

Американцы ввели санкции против ИБ-компании... К счастью не российской, а китайской 🇨🇳 Это Integrity Technology Group, про которую я писал в сентябре и которая, если верить спецслужбам США, стоит за APT-группировкой Flax Typhoon или, по крайней мере, предоставляет им инфраструктуру для проведения атак. Что-то американцы долго тянули с введением ограничений, 3,5 месяца ⏱... К выборам что ли?...

Никогда такого не было и вот снова (с) Некорректное обновление 🔄 агентов сканера безопасности Nessus компании Tenable, распространенное 31 декабря, привело к тому, что защитное ПО перестало функционировать, а для его переустановки надо было вручную сбросить все настройки, залив после этого либо раннюю, либо последнюю версию обновления Nessus, но опять же вручную 🧑‍💻

Это, конечно, не июльский инцидент с Crowdstrike, но в очередной раз поднимает вопрос о наличии правильной стратегии обновления ПО 🤔 Особенно в новогоднюю ночь 🔥

#инцидент #devsecops

Вот смотрю я на некоторые каналы по ИБ и задаюсь вопросом - нахрена они существуют и кто их читает? Один пост в день про несвежую новость, которую уже все обсосали с разных сторон. И ладно если бы в каналах была аналитика или нестандартный взгляд, но нет. Просто пересказ уже известного. И несколько тысяч подписчиков. Не понимаю 🤷‍♀️

Ну да пост не про это. Посмотрел рейтинг ИБ-каналов у Алексея Комарова 📈 Предположу, что Алексей собрал почти все, что есть в российском Телеграм-пространстве (там есть каналы даже на пару десятков человек); ну или большую его часть (хотя вот в списке ИБ-чатов нет многих чатов Positive Technologies, а в списке каналов нет ESCalator) 📱

Интересно, можно ли на основе этого рейтинга делать вывод о количестве специалистов по ИБ в стране? 🧮 С одной стороны, версия, что нормальный специалист по ИБ подписан хотя бы на один канал в Telegram, не лишена оснований. Можно было бы предположить, что самый популярный канал "Утечки информации", на который подписано 123 тысячи человек, и задает верхнюю границу такого числа ИБшников в стране 🔝 Но, во-первых, на него подписаны не только специалисты по кибербезу, а во-вторых, не все специалисты по ИБ подписаны на него. Я вот из первой двадцатки подписан только на 6 каналов, а из всех 180 только на 27 🧮

Если ориентироваться на формулу расчета числа специалистов (моя новогодняя фантазия после сауны и кофе с коньяком), которая выглядит следующим образом:

Число специалистов по ИБ = (общее число подписчиков на все каналы / доля подписанных) / коэффициент подписок, где
- доля подписанных - это % специалистов по ИБ, которые подписаны на все каналы (для простоты можно посчитать это значение равным 100%, но в реальности оно будет другим (у некоторых каналов оно может быть и 80%, то есть на них подписаны не все ИБшники, а где-то условно 120%, когда на канал подписаны не только все ИБшники)
- коэффициент подписок - это число каналов, на которые подписан среднестатистический специалист по ИБ

Получается, что общее число подписчиков на все каналы у нас равно на момент написания заметки 1 693 696 человек, включая ботов и граждан сопредельных республик, интересующихся, что у нас происходит, которых в формуле я не учитываю. Тогда при доле подписанных в 100% и коэффициенте подписки в 27 каналов (если меня принять за среднестатистического специалиста 🤠) мы получим верхнюю границу в 62729 специалистов по ИБ в России. При числе подписок в 6 каналов и доле подписанных в 80% (не все есть в Telegram, что странно, но допустим), верхняя граница вырастает до 282 283 специалистов по ИБ.

Но предположу, что все-таки значение в 62 тысячи ближе к истине. А вы что думаете? 🤔

#мысли